Тестирование безопасности - раскрытие конфиденциальных данных
Поскольку онлайн-приложения ежедневно наводняют Интернет, не все приложения защищены. Многие веб-приложения не защищают должным образом конфиденциальные данные пользователей, такие как информация о кредитных картах / информация о банковском счете / учетные данные для аутентификации. Хакеры могут в конечном итоге украсть эти слабо защищенные данные для мошенничества с кредитными картами, кражи личных данных или других преступлений.
Давайте разберемся с агентами угроз, векторами атак, слабостями безопасности, техническим воздействием и последствиями для бизнеса этой уязвимости с помощью простой диаграммы.
пример
Вот некоторые из классических примеров неправильной конфигурации безопасности:
Сайт просто не использует SSL для всех аутентифицированных страниц. Это позволяет злоумышленнику отслеживать сетевой трафик и украсть cookie сеанса пользователя, чтобы захватить сеанс пользователя или получить доступ к его личным данным.
Приложение хранит номера кредитных карт в зашифрованном формате в базе данных. При извлечении они расшифровываются, что позволяет хакеру выполнить атаку с использованием SQL-инъекции, чтобы получить всю конфиденциальную информацию в виде открытого текста. Этого можно избежать, если зашифровать номера кредитных карт с помощью открытого ключа и разрешить внутренним приложениям расшифровывать их с помощью закрытого ключа.
Руки вверх
Step 1- Запустите WebGoat и перейдите в раздел «Небезопасное хранилище». Снимок того же показан ниже.
Step 2- Введите имя пользователя и пароль. Пришло время изучить различные методы кодирования и шифрования, которые мы обсуждали ранее.
Профилактические механизмы
Рекомендуется не хранить конфиденциальные данные без необходимости и их следует как можно скорее очистить, если они больше не нужны.
Важно убедиться, что мы используем надежные и стандартные алгоритмы шифрования, а также надлежащее управление ключами.
Этого также можно избежать, отключив автозаполнение в формах, которые собирают конфиденциальные данные, такие как пароль, и отключив кеширование для страниц, содержащих конфиденциальные данные.